Vergi Temalı Kimlik Avı Dolandırıcılığı Yoluyla Yayılan TimbreStealer Kötü Amaçlı Yazılımı BT Kullanıcılarını Hedef Alıyor

Etkinliği keşfeden Cisco Talos, yazarları yetenekli olarak nitelendirdi ve "tehdit aktörünün daha önce Eylül 2023'te Mispadu olarak bilinen bir bankacılık truva atı dağıtmak için benzer taktikler, teknikler ve prosedürler (TTP'ler) kullandığını" söyledi.

Kimlik avı kampanyası, algılamayı önlemek ve kalıcılığı sağlamak için gelişmiş gizleme teknikleri kullanmanın yanı sıra, Meksika'daki kullanıcıları ayırmak için coğrafi sınırlamayı kullanır ve yük siteleriyle başka konumlardan iletişim kurulursa kötü amaçlı dosya yerine zararsız boş bir PDF dosyası döndürür.

Dikkate değer kaçınma manevralarından bazıları, 32 bitlik bir işlemde 64 bit kodu yürütmek için Heaven's Gate'i kullanmanın yanı sıra, geleneksel API izlemeyi atlamak için özel yükleyicilerden ve doğrudan sistem çağrılarından yararlanmayı içerir, bu da yakın zamanda HijackLoader tarafından benimsenen bir yaklaşımdır.

Kötü amaçlı yazılım, ana ikilinin düzenlenmesi, şifresinin çözülmesi ve korunması için birkaç gömülü modülle birlikte gelirken, aynı zamanda bir korumalı alan ortamı çalıştırıp çalıştırmadığını, sistem dilinin Rusça olmadığını ve saat diliminin bir Latin Amerika bölgesi içinde olup olmadığını belirlemek için bir dizi kontrol gerçekleştirir.

Orchestrator modülü ayrıca, sonuçta TimbreStealer'ın birincil yükünün yürütülmesini tetiklediğinden, kullanıcıya iyi huylu bir yanıltıcı dosya görüntüleyen bir yük yükleyici bileşenini başlatmadan önce, makineye daha önce virüs bulaşmadığını iki kez kontrol etmek için dosyaları ve kayıt defteri anahtarlarını arar.

Yük, farklı klasörlerden kimlik bilgileri, sistem meta verileri ve erişilen URL'ler dahil olmak üzere çok çeşitli verileri toplamak, belirli uzantılarla eşleşen dosyaları aramak ve uzak masaüstü yazılımının varlığını doğrulamak için tasarlanmıştır.

Cisco Talos, Eylül 2023'te gözlemlenen bir Mispadu spam kampanyasıyla örtüşmeler tespit ettiğini, ancak TimbreStealer'ın hedef sektörlerinin çeşitli olduğunu ve üretim ve nakliye sektörlerine odaklandığını söyledi.

Açıklama, yerel kullanıcı hesabı parolaları, Mozilla Firefox ve Chromium tabanlı tarayıcılardan kimlik bilgileri, kripto cüzdan bilgileri ve ilgilenilen dosyalar gibi Apple macOS sistemlerinden veri toplayabilen Atomic (diğer adıyla AMOS) adlı başka bir bilgi hırsızının yeni bir sürümünün ortaya çıkmasının ortasında geldi.

Bitdefender araştırmacısı Andrei Lapusneanu, kurbanın bilgisayarından hassas dosyaları toplamak için Apple Script bloğunun RustDoor arka kapısıyla "önemli ölçüde yüksek düzeyde benzerlik" sergilediğini belirterek, "Yeni varyant düşüyor ve gizli kalmak için bir Python komut dosyası kullanıyor" dedi.

Ayrıca, Agent Tesla ve Pony (diğer adıyla Fareit veya Siplog) gibi mevcut türler bilgi hırsızlığı ve ardından Exodus gibi hırsız günlükleri pazarlarında satış için kullanılmaya devam etse bile, XSS forumu tarafından barındırılan bir kötü amaçlı yazılım geliştirme yarışmasının bir parçası olarak piyasaya sürülen XSSLite gibi yeni hırsız kötü amaçlı yazılım ailelerinin ortaya çıkışını takip ediyor.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği